Μία από τις πιο σοβαρές ευπάθειες του 2026 στον χώρο του web hosting βρίσκεται τώρα σε φάση μαζικής εκμετάλλευσης. Το CVE-2026-41940, μια κρίσιμη ευπάθεια παράκαμψης αυθεντικοποίησης στο cPanel & WHM (WebHost Manager), έχει CVSS score 9.8 και επηρεάζει όλες τις εκδόσεις του λογισμικού μετά την 11.40, καθώς και το WP Squared, μια πλατφόρμα managed WordPress hosting βασισμένη στο cPanel.

Πώς λειτουργεί η επίθεση

Το ελάττωμα εντοπίζεται στη ροή του login του cPanel. Όταν ένας χρήστης προσπαθεί να συνδεθεί, το cPanel γράφει δεδομένα από το αίτημα σε ένα αρχείο session από την πλευρά του server πριν επαληθεύσει την ταυτότητά του. Ένας επιτιθέμενος μπορεί να εκμεταλλευτεί αυτό ενσωματώνοντας κρυφά line breaks στο πεδίο του κωδικού πρόσβασης — χαρακτήρες που το cPanel αποτυγχάνει να φιλτράρει — επιτρέποντας την έγχυση αυθαίρετων δεδομένων απευθείας στο αρχείο. Μέσω ενός δευτερεύοντος βήματος, τα injected δεδομένα προωθούνται στο ενεργό cache της session, όπου το cPanel τα διαβάζει ως νόμιμα. Μόλις συμβεί αυτό, το σύστημα θεωρεί την session ήδη authenticated και παρακάμπτει εντελώς την επαλήθευση κωδικού, χορηγώντας πρόσβαση χωρίς ποτέ να ελέγξει τα πραγματικά credentials του χρήστη.

Συγκεκριμένα, η εκμετάλλευση του CVE-2026-41940 — που μπορεί να συνοψιστεί ως CRLF flaw — περιλαμβάνει ελάχιστα βήματα: ο επιτιθέμενος δημιουργεί ένα session cookie ολοκληρώνοντας μια αποτυχημένη απόπειρα σύνδεσης και στη συνέχεια αποστέλλει ένα αίτημα με ένα ειδικά κατασκευασμένο header με εντολή αλλαγής προνομίων σε root, και έπειτα χρησιμοποιεί αυτό το cookie για να συνδεθεί στο cPanel και WHM ως root. Η εκμετάλλευση στοχεύει τα ports 2083, 2087, 2095 και 2096 — τα standard ports πρόσβασης του cPanel και WHM — καθιστώντας κάθε εκτεθειμένο control panel βιώσιμο στόχο.

Zero-day εδώ και μήνες — και ransomware ήδη σε δράση

Οι επιτιθέμενοι δεν χρειάστηκε να περιμένουν τους ερευνητές να δημοσιεύσουν τεχνικές λεπτομέρειες: έχουν εντοπιστεί να εκμεταλλεύονται το CVE-2026-41940 ήδη από τις 23 Φεβρουαρίου, και πιθανώς ακόμα νωρίτερα. Πρώιμα σήματα από defenders, όπως ο CEO της KnownHost Daniel Pearson, υποδηλώνουν ότι ενδέχεται να εκμεταλλεύτηκε ως zero-day για τουλάχιστον 30 ημέρες.

Ιδιοκτήτης μικρής επιχείρησης που ανάρτησε στο Reddit ανέφερε ότι η εταιρεία του χτυπήθηκε από ransomware αφού χρησιμοποιούσε μία τυπική εγκατάσταση cPanel. Σύμφωνα με το BleepingComputer, το ransomware που εντοπίστηκε φέρει την ονομασία «Sorry» και αποτελεί μία από τις πρώτες επιβεβαιωμένες περιπτώσεις μαζικής εκμετάλλευσης για κρυπτογράφηση δεδομένων μέσω αυτής της ευπάθειας.

Κλίμακα έκθεσης: 1,5 εκατομμύρια instances

Σύμφωνα με την Rapid7, scans μέσω Shodan δείχνουν ότι υπάρχουν περίπου 1,5 εκατομμύρια cPanel instances εκτεθειμένα online, χωρίς να είναι γνωστός ο ακριβής αριθμός των ευάλωτων συστημάτων. «Η επιτυχής εκμετάλλευση του CVE-2026-41940 χορηγεί στον επιτιθέμενο έλεγχο του cPanel host system, των ρυθμίσεων και βάσεων δεδομένων του, καθώς και των websites που διαχειρίζεται», προειδοποιεί η Rapid7. Το Shadowserver Foundation αναφέρει ότι εντοπίζει 44.000 μοναδικές IPs να κάνουν scanning, να εκτελούν exploits ή να διεξάγουν brute force επιθέσεις, ενώ εντοπίζει και περίπου 650.000 IPs που φιλοξενούν εκτεθειμένα cPanel/WHM instances.

Αντίδραση providers και CISA

Η Namecheap, που χρησιμοποιεί cPanel για να επιτρέπει στους πελάτες της να διαχειρίζονται τους web servers τους, ανέφερε ότι μπλόκαρε προσωρινά την πρόσβαση στα cPanel panels των πελατών της μετά την ενημέρωση για το κενό ασφαλείας, ώστε να αποτρέψει εκμετάλλευση και να κερδίσει χρόνο για την εφαρμογή patches. Η HostGator επίσης ανέφερε ότι έκανε patch τα συστήματά της και χαρακτήρισε το κενό ως «critical authentication-bypass exploit».

Η CISA πρόσθεσε το CVE-2026-41940 στον κατάλογο Known Exploited Vulnerabilities (KEV), απαιτώντας από τις ομοσπονδιακές υπηρεσίες (FCEB) να εφαρμόσουν τα patches έως τις 3 Μαΐου 2026.

Τι πρέπει να κάνεις τώρα

Το security advisory συνιστά ενημέρωση στην patched έκδοση cPanel, επαλήθευση της έκδοσης build και επανεκκίνηση της υπηρεσίας cPanel (cpsrvd). Ως mitigations έως ότου εφαρμοστεί το patch, η εταιρεία προτείνει το blocking εισερχόμενης κίνησης στα ports 2083, 2087, 2095 και 2096 στο firewall και διακοπή των υπηρεσιών cpsrvd και cpdavd. Η cPanel έχει δημοσιεύσει detection script, και η watchTowr κυκλοφόρησε Detection Artifact Generator για να βοηθήσει τους administrators να εντοπίσουν σημάδια compromise.

Πηγές

• BleepingComputer – Critical cPanel flaw mass-exploited in "Sorry" ransomware attacks
• CyberScoop – cPanel's authentication bypass bug is being exploited in the wild, CISA warns
• The Register – Critical cPanel exploited: 'Millions' of sites could be hit
• SecurityWeek – Critical cPanel & WHM Vulnerability Exploited as Zero-Day for Months
• Help Net Security – cPanel zero-day exploited for months before patch release

Η Ομοσπονδιακή Επιτροπή Επικοινωνιών των ΗΠΑ (FCC) προχώρησε στις 30 Απριλίου 2026 στην ψηφοφορία για την πλήρη απαγόρευση κινεζικών εργαστηρίων από τη διαδικασία πιστοποίησης ηλεκτρονικών συσκευών για την αμερικανική αγορά. Η κίνηση επεκτείνει σημαντικά μια προηγούμενη ρύθμιση του 2025, η οποία είχε περιοριστεί μόνο σε εργαστήρια ελεγχόμενα από την κινεζική κυβέρνηση.

Από 23 labs σε πλήρη απαγόρευση

Το 2025, η FCC είχε απαγορεύσει 23 κινεζικά εργαστήρια που ελέγχονταν άμεσα από το κινεζικό κράτος. Ωστόσο, σύμφωνα με την αρχή, η συντριπτική πλειοψηφία των κινεζικών labs συνέχιζε να πιστοποιεί ηλεκτρονικά για την αμερικανική αγορά. Η νέα πρόταση επεκτείνει την απαγόρευση σε κάθε κινεζικό εργαστήριο, ανεξαρτήτως άμεσης κρατικής σύνδεσης.

Η FCC υπολογίζει ότι περίπου το 75% όλων των ηλεκτρονικών δοκιμάζεται σε εργαστήρια στην Κίνα. Αν η πρόταση τελικά επικυρωθεί, κατασκευαστές από όλο τον κόσμο θα πρέπει να μεταφέρουν σημαντικό μέρος των εργασιών πιστοποίησής τους εκτός Κίνας — μια λογιστική πρόκληση χωρίς άμεση λύση.

Ποιες συσκευές αφορά — και γιατί

Η FCC απαιτεί πιστοποίηση για κάθε ηλεκτρονική συσκευή που εκπέμπει ραδιοσυχνότητες πριν αυτή εισαχθεί ή διατεθεί στην αγορά των ΗΠΑ. Η διαδικασία αφορά IoT συσκευές, υπολογιστές, fitness trackers, εξοπλισμό δικτύου, smartphones και ακόμα baby monitors. Τα εργαστήρια αυτά έχουν πρόσβαση σε πλήρεις τεχνικές προδιαγραφές των συσκευών κατά τη διάρκεια της πιστοποίησης — κάτι που η FCC χαρακτηρίζει ως κίνδυνο εθνικής ασφάλειας.

Σύμφωνα με την FCC, ορισμένα από τα εργαστήρια που λειτουργούσαν στο πλαίσιο της αδειοδότησης εξοπλισμού συνδέονται με κινεζικές κρατικές επιχειρήσεις, με τον μηχανισμό Military-Civil Fusion του ΚΚΚ και ακόμα με τον Λαϊκό Απελευθερωτικό Στρατό (PLA).

Οικονομικές επιπτώσεις και μετακίνηση αγοράς

Εταιρείες όπως η Apple, η Nintendo και η SpaceX έχουν ήδη αρχίσει να μετακινούν εργασίες πιστοποίησης σε εργαστήρια της Ιαπωνίας, της Ταϊβάν και του Ηνωμένου Βασιλείου, με την Ταϊβάν να απορροφά το μεγαλύτερο μέρος της υπερχείλισης. Οι μικρότεροι κατασκευαστές, σύμφωνα με αναλυτές, αντιμετωπίζουν το μεγαλύτερο πρόβλημα δυναμικότητας, με εκτιμώμενες αυξήσεις κόστους πιστοποίησης από 5% έως 30%.

Παράλληλα με την ψηφοφορία για τα labs, η FCC εξέτασε και την απλοποίηση της διαδικασίας έγκρισης για εργαστήρια εντός ΗΠΑ ή χωρών που δεν εγείρουν ζητήματα εθνικής ασφάλειας — μέτρο που στοχεύει στη διεύρυνση της εναλλακτικής δυναμικότητας πιστοποίησης. Η FCC θεωρεί ότι τα αμερικανικά εργαστήρια θα έχουν φτάσει σε επαρκή δυναμικότητα έως το 2030, αν και ανεξάρτητοι αναλυτές χαρακτηρίζουν αυτό το χρονοδιάγραμμα ως αισιόδοξο.

Η ευρύτερη εκστρατεία της FCC κατά της κινεζικής τεχνολογίας

Η ψηφοφορία αυτή εντάσσεται σε μια σειρά συντονισμένων κινήσεων της FCC. Στις 3 Απριλίου 2026, η επιτροπή πρότεινε απαγόρευση εισαγωγών κινεζικού εξοπλισμού που είχε ήδη λάβει έγκριση FCC — μια κίνηση που θα ανέτρεπε αναδρομικά προηγούμενες εγκρίσεις. Από το 2021, η FCC έχει προσθέσει πέντε κινεζικές εταιρείες στη λίστα εθνικής ασφάλειας («covered list»), συμπεριλαμβανομένων των Huawei, ZTE, Hytera, Hikvision και Dahua.

Πηγές

• Tom's Hardware — FCC votes to ban all Chinese labs from certifying electronics sold in the US
• U.S. News & World Report — FCC to Vote on Proposal to Ban Chinese Labs From Testing US Electronics
• IBTimes SG — FCC to Vote on April 30 to Ban All Chinese Labs From Testing US Electronics
• Yahoo Finance — FCC Wants To Go Against $30 Billion Chinese Device Testing Industry

Η Canonical, η εταιρεία πίσω από το Ubuntu, δέχτηκε μαζική επίθεση τύπου Distributed Denial of Service (DDoS) στις 30 Απριλίου 2026 — ακριβώς την ημέρα που κυκλοφόρησε το Ubuntu 26. Εκπρόσωπος της εταιρείας επιβεβαίωσε στο The Register ότι «η web infrastructure της Canonical βρίσκεται υπό συντεταγμένη, cross-border DDoS επίθεση», με τις ομάδες να εργάζονται για την αποκατάσταση των υπηρεσιών.

Ποιες υπηρεσίες επηρεάστηκαν

Σύμφωνα με τις αναφορές, τα επηρεαζόμενα services περιλαμβάνουν το ubuntu.com, το security.ubuntu.com, το lists.ubuntu.com, το login.ubuntu.com, το Snap Store, το Snapcraft, το Launchpad, το maas.io, το Livepatch API και το Landscape. Οι APT mirrors και οι λήψεις ISO παρέμειναν σε λειτουργία, επιτρέποντας σε χρήστες να κατεβάσουν το νέο Ubuntu 26 μέσω εναλλακτικών πηγών.

Αξίζει να σημειωθεί ότι η διακοπή του Security API — το οποίο διανέμει Ubuntu Security Notices και δεδομένα CVE — δεν αντικαθίσταται αυτόματα από mirrors, με αποτέλεσμα να επηρεαστούν αυτοματοποιημένα workflows ενημέρωσης ασφαλείας σε enterprise περιβάλλοντα.

Ποιος είναι η 313 Team

Την ευθύνη ανέλαβε η ομάδα που αυτοαποκαλείται «Islamic Cyber Resistance in Iraq — 313 Team», γνωστή και ως 313 Team Hack Team. Σύμφωνα με threat advisory της HawkEye, που χρονολογείται τον Μάρτιο 2026, η ομάδα έχει αξιολογηθεί ως συνδεδεμένη με το ιρανικό Υπουργείο Πληροφοριών και Ασφάλειας (MOIS). Πρωτοεμφανίστηκε τον Δεκέμβριο 2023, λίγο μετά την έναρξη της σύγκρουσης στη Γάζα.

Το ιστορικό της ομάδας περιλαμβάνει DDoS εκστρατεία κατά της σαουδαραβικής πλατφόρμας Absher (Δεκέμβριος 2023), επίθεση σε 26 κυβερνητικά domains του Κουβέιτ (Φεβρουάριος 2026), επιθέσεις κατά του Bluesky (Απρίλιος 2026) και του mastodon.social. Η επίθεση στην Canonical αποτελεί, σύμφωνα με αναλυτές, την πρώτη φορά που η ομάδα στοχεύει μεγάλο φορέα open-source infrastructure.

Για την επίθεση, η 313 Team χρησιμοποίησε, σύμφωνα με αναφορές, το Beamed, μια υπηρεσία DDoS-for-hire.

Απαίτηση λύτρων — χωρίς επιβεβαίωση από Canonical

Πέραν της διακοπής υπηρεσιών, η 313 Team εξέδωσε μέσω Telegram μήνυμα προς την Canonical ζητώντας επικοινωνία μέσω Session — μιας εφαρμογής μηνυμάτων που ελαχιστοποιεί τα metadata και χρησιμοποιείται συχνά σε διαπραγματεύσεις ransom. Σύμφωνα με την Cybersecurity Insiders, η απαίτηση αφορά ποσό εκατομμυρίων, ενώ η ομάδα απείλησε με συνέχιση της επίθεσης αν δεν υπάρξει ανταπόκριση.

Η Canonical δεν έχει επιβεβαιώσει δημοσίως ότι έλαβε ή αναγνώρισε την απαίτηση λύτρων. Στο επίσημο status page εμφανίστηκε μόνο η αναγνώριση της «sustained, cross-border attack», με δέσμευση για τακτικές ενημερώσεις.

Τι μπορούν να κάνουν οι χρήστες

Για λήψη του Ubuntu 26, οι χρήστες μπορούν να χρησιμοποιήσουν οποιονδήποτε από τους επίσημους mirrors — η λίστα τους βρισκόταν στο launchpad.net ή, σε περίπτωση αδυναμίας φόρτωσης, στο Wayback Machine. Διαθέσιμες ήταν επίσης torrent λήψεις. Οι security teams που εξαρτώνται από τα Ubuntu CVE και advisory APIs συνιστάται να χρησιμοποιήσουν εναλλακτικές πηγές όπως το NVD ή το OSV μέχρι την αποκατάσταση των υπηρεσιών.

Πηγές

• Tom's Hardware
• The Register
• SQ Magazine
• Cybersecurity News
• TechCrunch
• OMG! Ubuntu

Στις 29 Απριλίου 2026, ερευνητές της εταιρείας ασφάλειας Theori δημοσιοποίησαν μία ευπάθεια που έβαλε σε συναγερμό τη διαχειριστική κοινότητα του Linux παγκοσμίως. Το CVE-2026-31431, γνωστό και ως «Copy Fail», είναι μια ευπάθεια local privilege escalation (LPE) στον πυρήνα του Linux που επιτρέπει σε έναν απλό, χωρίς δικαιώματα χρήστη να αποκτήσει πλήρη πρόσβαση root στο σύστημα.

Τι ακριβώς κάνει το Copy Fail

Σύμφωνα με τους ερευνητές της Theori, το Copy Fail εκμεταλλεύεται ένα λογικό σφάλμα στο κρυπτογραφικό subsystem του kernel — συγκεκριμένα στο module algif_aead, την AEAD socket διεπαφή του userspace crypto API (AF_ALG). Η ευπάθεια επιτρέπει σε έναν απλό χρήστη να γράψει 4 controlled bytes στον page cache οποιουδήποτε αναγνώσιμου αρχείου στο σύστημα. Ο kernel διαβάζει τον page cache κατά τη φόρτωση ενός binary — άρα η τροποποίηση του cached αντιγράφου ισοδυναμεί με αλλαγή του binary για τους σκοπούς εκτέλεσης, χωρίς να ενεργοποιείται κανένας μηχανισμός προστασίας που βασίζεται σε file system events όπως το inotify.

Αυτό που κάνει την εκμετάλλευση ιδιαίτερα ανησυχητική: το proof-of-concept exploit είναι ένα Python script μόλις 10 γραμμών και 732 bytes, ικανό να τροποποιήσει ένα setuid binary και να αποκτήσει root σε σχεδόν κάθε Linux διανομή που κυκλοφόρησε από το 2017. Σε αντίθεση με προγενέστερες ευπάθειες όπως το Dirty Cow ή το Dirty Pipe, το Copy Fail δεν απαιτεί race condition — το exploit δουλεύει κάθε φορά, σε κάθε επηρεαζόμενο σύστημα, χωρίς τροποποίηση.

Αόρατο στα forensics

Ένα από τα πιο ανησυχητικά χαρακτηριστικά του Copy Fail είναι ότι η τροποποίηση υπάρχει μόνο στον page cache — το αρχείο στον δίσκο παραμένει αμετάβλητο. Η τυπική ανάλυση δίσκου δεν ανιχνεύει καμία αλλαγή. Επιπλέον, το script δεν αφήνει ίχνος στον δίσκο και δεν σηματοδοτεί εργαλεία παρακολούθησης αρχείων. Η εκκαθάριση της μνήμης μέσω επανεκκίνησης επαναφορτώνει το cache από το αυθεντικό αρχείο — χωρίς καμία ένδειξη ότι κάτι συνέβη.

Ποιες διανομές επηρεάζονται

Επηρεάζεται κάθε Linux διανομή που χρησιμοποιεί kernel ≥ 4.14, δηλαδή ουσιαστικά κάθε mainstream διανομή που κυκλοφόρησε από το 2017. Αυτό περιλαμβάνει Ubuntu, Amazon Linux, RHEL, SUSE, Debian, Arch Linux, Fedora, Rocky Linux, AlmaLinux, Oracle Linux, καθώς και embedded Linux διανομές. Η Theori ανέπτυξε επίσης exploit που χρησιμοποιεί το Copy Fail για να «δραπετεύσει» από Kubernetes containers — γεγονός που καθιστά την απειλή ακόμα πιο σοβαρή για cloud και multi-tenant υποδομές.

Το CERT-EU επισήμανε ότι τα περιβάλλοντα υψηλότερου κινδύνου είναι αυτά όπου πολλοί χρήστες ή workloads μοιράζονται έναν Linux kernel: cloud και multi-tenant συστήματα, container clusters και CI/CD pipelines που εκτελούν untrusted κώδικα. Μία ευπάθεια LPE σε επίπεδο kernel καταρρίπτει αυτά τα όρια απομόνωσης.

Πώς ανακαλύφθηκε — ο ρόλος του AI

Ο ερευνητής της Theori, Taeyang Lee, εντόπισε την ευπάθεια με τη βοήθεια του AI-powered εργαλείου ασφάλειας κώδικα Xint Code της εταιρείας. Μετά από περίπου μία ώρα σάρωσης στο κρυπτογραφικό subsystem του Linux kernel, το Xint Code επέστρεψε το Copy Fail ως την εύρεση υψηλότερης σοβαρότητας. Αξίζει να σημειωθεί ότι η ίδια σάρωση εντόπισε και άλλες ευπάθειες υψηλής σοβαρότητας, οι οποίες βρίσκονται ακόμα σε διαδικασία responsible disclosure.

Το εύρημα αυτό εντάσσεται σε μια ευρύτερη τάση: ο αριθμός αναφορών ευπαθειών έχει αυξηθεί απότομα τους τελευταίους μήνες χάρη σε AI-powered εργαλεία εύρεσης σφαλμάτων, σε βαθμό που το πρόγραμμα Internet Bug Bounty (IBB) ανέστειλε προσωρινά τα βραβεία έως ότου διαχειριστεί τον αυξημένο όγκο αναφορών.

Χρονολόγιο και κατάσταση patches

Το σφάλμα εισήχθη στον κώδικα το 2017 μέσω μιας βελτιστοποίησης στο algif_aead.c και παρέμεινε αδιάγνωστο για σχεδόν μία δεκαετία. Η Theori το αποκάλυψε ιδιωτικά στην ομάδα ασφάλειας του Linux kernel, η οποία ενσωμάτωσε την επιδιόρθωση στο mainline kernel στις 1 Απριλίου 2026. Το CVE-2026-31431 εκχωρήθηκε στις 22 Απριλίου, ενώ η πλήρης δημόσια αποκάλυψη έγινε στις 29 Απριλίου — μαζί με τον κώδικα του exploit. Κατά την ημερομηνία της ανακοίνωσης, καμία μεγάλη διανομή δεν είχε ακόμα αποστείλει ενημερωμένο kernel package, αν και διανομές όπως Debian, Ubuntu και SUSE άρχισαν να κυκλοφορούν updates. Η Ubuntu 26.04 (Resolute) και νεότεροι kernels δεν επηρεάζονται.

Άμεσα μέτρα μετριασμού

Μέχρι να εφαρμοστεί το patched kernel, το CERT-EU συνιστά την άμεση απενεργοποίηση του ευάλωτου module algif_aead με την εντολή:

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf

Για Kubernetes workloads, εναλλακτικά μπορεί να εφαρμοστεί seccomp profile που μπλοκάρει το σχετικό syscall. Η εφαρμογή του επιδιορθωμένου kernel απαιτεί επανεκκίνηση — σε production clusters απαιτείται διαδικασία drain-and-reinstate ανά node.

Πηγές

• Ars Technica
• The Register
• CERT-EU Advisory
• Tenable Research (FAQ)
• Xint.io / Theori (Original Research)
• The Hacker News
• Help Net Security

Μια σοβαρή επίθεση στην αλυσίδα εφοδιασμού λογισμικού (software supply chain attack) ταρακούνησε την κοινότητα των developers: το elementary-data, ένα δημοφιλές open source εργαλείο παρακολούθησης ML συστημάτων, παραβιάστηκε και για περίπου 12 ώρες διέθετε κακόβουλο κώδικα που έκλεβε ευαίσθητα δεδομένα από τα συστήματα των χρηστών του.

Πώς έγινε η επίθεση

Οι επιτιθέμενοι δεν χρησιμοποίησαν κλεμμένο κωδικό πρόσβασης. Αντίθετα, εκμεταλλεύτηκαν μια ευπάθεια script-injection στο GitHub Actions pipeline του project. Συγκεκριμένα, ένας νεοδημιουργημένος λογαριασμός GitHub δημοσίευσε κακόβουλο script μέσα σε σχόλιο ανοιχτού pull request. Επειδή το αυτοματοποιημένο workflow δεν επεξεργαζόταν με ασφάλεια αυτά τα σχόλια, το σύστημα εκτέλεσε τον κώδικα, δίνοντας στους attackers πρόσβαση στα signing keys του project.

Με αυτόν τον τρόπο, οι άγνωστοι επιτιθέμενοι κατάφεραν να δημοσιεύσουν την κακόβουλη έκδοση 0.23.3 τόσο στο Python Package Index (PyPI) όσο και ως Docker image στο GitHub Container Registry (GHCR). Η μολυσμένη έκδοση παρέμεινε διαθέσιμη για περίπου 12 ώρες πριν αφαιρεθεί.

Τι έκλεβε το κακόβουλο πακέτο

Μόλις εκτελούνταν, η μολυσμένη έκδοση σκανάριζε το σύστημα για ευαίσθητα δεδομένα. Πιο συγκεκριμένα, αναζητούσε και εξήγαγε:

• User profiles και warehouse credentials
• Cloud provider keys (AWS, GCP, Azure κ.ά.)
• API tokens και SSH private keys
• Kubernetes service account tokens και Docker configurations
• Αρχεία .env με application secrets
• Crypto wallets (Bitcoin, Ethereum και άλλα)

Όλα τα κλεμμένα δεδομένα συμπιέζονταν σε αρχείο και αποστέλλονταν αθόρυβα σε έναν απομακρυσμένο server υπό τον έλεγχο των επιτιθέμενων.

Ποιοι επηρεάστηκαν και τι πρέπει να κάνουν

Το elementary-data είναι ένα CLI εργαλείο για παρακολούθηση απόδοσης και ανωμαλιών σε ML συστήματα, με πάνω από ένα εκατομμύριο λήψεις τον μήνα — καθιστώντας το ιδιαίτερα ελκυστικό στόχο. Σύμφωνα με τους developers, όσοι έχουν εγκαταστήσει την έκδοση 0.23.3 ή χρησιμοποιούν το αντίστοιχο Docker image πρέπει να θεωρήσουν ότι τα credentials τους έχουν διαρρεύσει.

Τα βήματα που συνιστώνται άμεσα είναι:

1. Αφαίρεση του πακέτου και αναβάθμιση στην έκδοση elementary-data==0.23.4 (ή επιστροφή στην 0.23.2).
2. Πλήρης αντικατάσταση όλων των credentials, API keys και database passwords στα επηρεαζόμενα μηχανήματα.
3. Ενεργοποίηση two-factor authentication σε όλες τις κρίσιμες υποδομές.
4. Καρφίτσωμα (pinning) των εξαρτήσεων πακέτων σε συγκεκριμένες, επαληθευμένες εκδόσεις.

Σημειώνεται ότι το Elementary Cloud, το Elementary dbt package και όλες οι άλλες εκδόσεις του CLI δεν επηρεάστηκαν.

Μια αυξανόμενη απειλή

Το περιστατικό δεν είναι μεμονωμένο. Σύμφωνα με έρευνα της ReversingLabs, ο αριθμός των κακόβουλων open source πακέτων έχει αυξηθεί κατά 73% το 2026. Παρόμοιες επιθέσεις έχουν πλήξει πρόσφατα και άλλα δημοφιλή πακέτα όπως το LiteLLM και το Telnyx, ενώ η ομάδα TeamPCP έχει συνδεθεί με μια σειρά από τέτοιες επιθέσεις supply chain σε περιβάλλοντα Python και GitHub Actions.

Πηγές

• Ars Technica
• Techzine
• CyberSecurityNews

Η εκστρατεία malware GlassWorm επιστρέφει με ανανεωμένη τακτική και νέα κύματα επιθέσεων στο οικοσύστημα των VS Code extensions. Ερευνητές της εταιρείας κυβερνοασφάλειας Socket εντόπισαν 73 νέες κακόβουλες extensions στο Open VSX marketplace, σε αυτό που πλέον αποκαλείται επίσημα GlassWorm v2.

Τι είναι οι «sleeper» extensions;

Ο όρος «sleeper extension» περιγράφει ένα ψεύτικο πακέτο που δημοσιεύεται από κακόβουλους παράγοντες πριν οπλιστεί. Αρχικά φαίνεται αθώο, χτίζει εμπιστοσύνη και συγκεντρώνει downloads, για να μετατραπεί αργότερα σε φορέα malware μέσω μιας απλής ενημέρωσης. Ουσιαστικά, ο χρήστης εγκαθιστά κάτι που φαίνεται νόμιμο, αλλά «ξυπνά» αργότερα για να τον χτυπήσει.

Πώς λειτουργεί το νέο κύμα επιθέσεων

Το νέο cluster εντοπίστηκε τον Απρίλιο του 2026 και αποτελεί συνέχεια ενός προηγούμενου κύματος του Μαρτίου 2026, όπου είχαν εντοπιστεί 72 κακόβουλες extensions. Συνολικά, από τον Δεκέμβριο του 2025, έχουν εντοπιστεί περισσότερα από 320 κακόβουλα artifacts.

Τα 73 νέα extensions παρουσιάζουν τα εξής χαρακτηριστικά:

• Cloned listings: Αντιγράφουν επακριβώς branding, εικονίδια και περιγραφές δημοφιλών extensions για να εξαπατήσουν τους χρήστες.
• Νέοι GitHub λογαριασμοί: Δημοσιεύθηκαν από νεοδημιουργημένους GitHub λογαριασμούς με μόλις ένα ή δύο repositories — εκ των οποίων το ένα είναι κενό και φέρει ένα όνομα οκτώ χαρακτήρων.
• Transitive delivery: Κακόβουλα dependencies εγκαθίστανται σιωπηλά μέσω των μηχανισμών extensionPack και extensionDependencies, χωρίς το ίδιο το extension να περιέχει εμφανώς κακόβουλο κώδικα.
• GitHub-hosted payloads: Τα VSIX payloads φιλοξενούνται εξωτερικά στο GitHub, καθιστώντας πιο δύσκολη την αφαίρεσή τους από τα registries.
• Obfuscated JavaScript & native binaries: Χρήση συγκεκαλυμμένης JavaScript και platform-specific native modules (.node) για παράκαμψη εργαλείων ανίχνευσης.

Ποιοι κινδυνεύουν;

Η απειλή στοχεύει developers που χρησιμοποιούν editors βασισμένους σε VS Code, συγκεκριμένα: VS Code, Cursor, Windsurf και VSCodium. Τα extensions κατεβάζουν το payload και το εγκαθιστούν χρησιμοποιώντας την εντολή --install-extension, εξαπλώνοντας τη μόλυνση σε πολλαπλά IDEs ταυτόχρονα.

Το αρχικό GlassWorm (Δεκέμβριος 2025) ήταν ιδιαίτερα επικίνδυνο: χρησιμοποιούσε αόρατους Unicode χαρακτήρες για να κρύψει κακόβουλο κώδικα και blockchain-based C2 υποδομή μέσω του Solana blockchain. Παράλληλα, έκλεβε NPM, GitHub και Git credentials, στόχευε 49 διαφορετικά cryptocurrency wallets και εγκαθιστούσε κρυφούς VNC servers για πλήρη απομακρυσμένη πρόσβαση.

Τι πρέπει να κάνεις για να προστατευθείς

• Να ελέγχεις πάντα τον publisher μιας extension πριν την εγκαταστήσεις — ένας νέος λογαριασμός με ελάχιστα repositories είναι κόκκινη σημαία.
• Να συγκρίνεις τον αριθμό των downloads με το επίσημο extension — μεγάλη διαφορά σημαίνει πιθανή απάτη.
• Να απενεργοποιήσεις την αυτόματη ενημέρωση extensions εφόσον δεν επαληθεύεις πρώτα τις αλλαγές.
• Να τηρείς ένα inventory των εγκατεστημένων extensions και να εξετάσεις τη χρήση centralized allowlist.
• Να χρησιμοποιείς εργαλεία όπως το Socket για monitoring του supply chain.

Πηγές

• BleepingComputer – GlassWorm malware attacks return via 73 OpenVSX sleeper extensions
• Socket.dev – 73 Open VSX Sleeper Extensions Linked to GlassWorm
• The Hacker News – Researchers Uncover 73 Fake VS Code Extensions Delivering GlassWorm v2 Malware
• Truesec – GlassWorm: Self-Propagating VSCode Extension Worm

Ένα νέο ransomware που απαντά στο όνομα Kyber έχει τραβήξει την προσοχή της κοινότητας κυβερνοασφάλειας για έναν πολύ συγκεκριμένο λόγο: είναι η πρώτη επιβεβαιωμένη περίπτωση ransomware που χρησιμοποιεί post-quantum κρυπτογραφία στην πράξη. Η εταιρεία Rapid7 ανέλυσε τα δείγματά του τον Μάρτιο του 2026, κατά τη διάρκεια αντιμετώπισης περιστατικού ασφαλείας, και τα ευρήματά της ανέτρεψαν αρκετές παραδοχές για το πού βρίσκεται σήμερα η απειλή του ransomware.

Τι είναι το Kyber ransomware και πώς λειτουργεί;

Το Kyber είναι μια cross-platform οικογένεια ransomware που στοχεύει τόσο Windows συστήματα όσο και VMware ESXi περιβάλλοντα. Η ομάδα Rapid7 ανέκτησε και ανέλυσε δύο διαφορετικές παραλλαγές του Kyber τον Μάρτιο του 2026 κατά τη διάρκεια αντιμετώπισης περιστατικού, με αμφότερες τις παραλλαγές να έχουν αναπτυχθεί στο ίδιο δίκτυο — η μία στοχεύοντας VMware ESXi και η άλλη Windows file servers.

Το όνομα «Kyber» δεν είναι τυχαίο: παραπέμπει στον αλγόριθμο CRYSTALS-Kyber, γνωστό και ως ML-KEM (Module Lattice-based Key Encapsulation Mechanism), τον οποίο το NIST τυποποίησε το 2024 ειδικά επειδή αντιστέκεται σε κβαντικές επιθέσεις. Η Windows παραλλαγή του ransomware, γραμμένη σε Rust, υλοποιεί πράγματι Kyber1024 και X25519 για την προστασία κλειδιών, ενώ το AES-CTR αναλαμβάνει την μαζική κρυπτογράφηση των αρχείων. Δηλαδή, το Kyber1024 δεν κρυπτογραφεί απευθείας τα αρχεία — προστατεύει το συμμετρικό κλειδί.

Ο Brett Callow, αναλυτής απειλών στην Emsisoft, χαρακτήρισε αυτό την πρώτη επιβεβαιωμένη περίπτωση ransomware που χρησιμοποιεί PQC (Post-Quantum Cryptography). Το πρώτο επιβεβαιωμένο θύμα; Ένας πολυδισεκατομμυριούχος αμερικανικός αμυντικός contractor.

Η ESXi παραλλαγή: post-quantum branding χωρίς την ουσία

Εδώ η εικόνα γίνεται πιο περίπλοκη. Ενώ η Windows έκδοση εφαρμόζει πράγματι ML-KEM1024, η παραλλαγή που στοχεύει VMware ESXi συστήματα ισχυρίζεται ότι χρησιμοποιεί ML-KEM, αλλά η Rapid7 διαπίστωσε κατά την ανάλυση ότι στην πραγματικότητα χρησιμοποιεί RSA με κλειδιά 4096-bit — μια κλασική προσέγγιση που παραμένει υπολογιστικά αδύνατο να σπάσει και για το ορατό μέλλον. Για την κρυπτογράφηση αρχείων, η ESXi έκδοση χρησιμοποιεί ChaCha8, ενώ για το key wrapping χρησιμοποιεί RSA-4096.

Η Anna Širokova, senior security researcher της Rapid7, σημείωσε ότι η χρήση ή ο ισχυρισμός χρήσης ML-KEM είναι πιθανόν ένα branding gimmick και ότι η υλοποίησή του απαίτησε σχετικά μικρό κόπο από τους developers του Kyber, αφού βιβλιοθήκες Kyber1024 σε Rust είναι διαθέσιμες και καλά τεκμηριωμένες.

Ψυχολογική πίεση: το πραγματικό «όπλο»

Γιατί να επενδύσει μια ομάδα ransomware σε post-quantum κρυπτογραφία, όταν κβαντικοί υπολογιστές ικανοί να σπάσουν RSA ή ECC απέχουν τουλάχιστον χρόνια; Η απάντηση δεν είναι καθαρά τεχνική. Οι επιτιθέμενοι δανείζονται ορολογία από την αιχμή της κρυπτογραφικής έρευνας για να επηρεάσουν τη λήψη αποφάσεων υπό πίεση. Για οργανισμούς που αποφασίζουν αν θα πληρώσουν λύτρα, η διάκριση μεταξύ γνήσιων quantum-resistant συστημάτων και τυπικής κρυπτογράφησης που αποκαλείται «quantum-resistant» ίσως δεν είναι αμέσως σαφής — και αυτή η ασάφεια φαίνεται να είναι ο στόχος.

Επιπλέον, το Kyber ransomware κλείνει και την «πόρτα» της στρατηγικής «store now, decrypt later»: κάποια θύματα κρατάνε κρυπτογραφημένα δεδομένα ελπίζοντας ότι μελλοντικές εξελίξεις θα κάνουν την αποκρυπτογράφηση δυνατή. Με το Kyber1024 στα Windows, αυτή η ελπίδα εξαλείφεται.

Τι πρέπει να κάνουν οι οργανισμοί;

Η Rapid7 συστήνει οι οργανισμοί να αντιμετωπίζουν το Kyber ως εξειδικευμένο εργαλείο ικανό να προκαλέσει πλήρες επιχειρησιακό blackout, όχι απλώς μια ακόμα παραλλαγή ransomware. Η ταυτόχρονη στόχευση Windows file servers και VMware ESXi υποδομών από τον ίδιο affiliate αυξάνει τον κίνδυνο ολικής διακοπής επιχειρησιακής λειτουργίας. Οι αμυνόμενοι θα πρέπει να επικεντρωθούν λιγότερο στη novelty του post-quantum branding και περισσότερο στην πρακτική ανθεκτικότητα: immutable backups, segmented υποδομή, privileged access controls και monitoring για VMware defacement ή μαζική διαγραφή shadow copies.

Πηγές

• Ars Technica – In a first, a ransomware family is confirmed to be quantum-safe
• BleepingComputer – Kyber ransomware gang toys with post-quantum encryption on Windows
• TechSpot – Ransomware groups are using post-quantum hype to intimidate victims
• PCRisk – Kyber Ransomware And The Post-Quantum Illusion

Η αμερικανική Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) εξέδωσε επείγουσα οδηγία προς όλες τις Federal Civilian Executive Branch (FCEB) υπηρεσίες, διατάσσοντάς τες να εφαρμόσουν άμεσα το διαθέσιμο patch για την ευπάθεια BlueHammer του Microsoft Defender. Η υπηρεσία έχει δώσει προθεσμία δύο εβδομάδων — έως τις 7 Μαΐου 2026 — για την ασφάλιση των Windows συστημάτων έναντι των συνεχιζόμενων επιθέσεων που εκμεταλλεύονται το CVE-2026-33825.

Τι είναι το BlueHammer;

Το BlueHammer είναι μια ευπάθεια τύπου Local Privilege Escalation (LPE) που εντοπίστηκε στον μηχανισμό ενημέρωσης και αποκατάστασης αρχείων του Microsoft Defender. Τεχνικά, αξιοποιεί έναν συνδυασμό time-of-check to time-of-use (TOCTOU) race condition και path confusion μέσα στη λογική remediation του Defender. Συγκεκριμένα, το exploit χρησιμοποιεί callbacks του Cloud Files και oplocks για να «παγώσει» τον Defender τη κρίσιμη στιγμή, αφήνοντας εκτεθειμένα τα αρχεία SAM, SYSTEM και SECURITY registry hives — κανονικά κλειδωμένα κατά τη λειτουργία του συστήματος. Επιτυχής εκμετάλλευση επιτρέπει ανάγνωση της βάσης δεδομένων SAM, αποκρυπτογράφηση NTLM password hashes, ανάληψη ελέγχου λογαριασμού διαχειριστή και δημιουργία SYSTEM-level shell.

Η ευπάθεια έχει αξιολογηθεί με βαθμολογία CVSS 7.8 (High) και επηρεάζει πλήρως ενημερωμένα συστήματα Windows 10 και Windows 11 πριν την ενημέρωση του Απριλίου 2026.

Πώς αποκαλύφθηκε η ευπάθεια;

Στις 3 Απριλίου 2026, ένας δυσαρεστημένος ερευνητής ασφαλείας με το ψευδώνυμο «Chaotic Eclipse» δημοσίευσε στο GitHub πλήρως λειτουργικό κώδικα εκμετάλλευσης (proof-of-concept) — χωρίς συντονισμένη αποκάλυψη, χωρίς CVE και χωρίς διαθέσιμο patch. Η κίνηση αυτή ήταν διαμαρτυρία για τον τρόπο που το Microsoft Security Response Center (MSRC) διαχειρίστηκε τη διαδικασία αποκάλυψης. Ο ερευνητής αποκάλυψε επίσης δύο ακόμα ευπάθειες: την RedSun (δεύτερη LPE στον Defender) και την UnDefend (που επιτρέπει σε standard χρήστη να μπλοκάρει τις ενημερώσεις ορισμών του Defender).

Η Microsoft κυκλοφόρησε το επίσημο fix στις 14 Απριλίου 2026, ως μέρος του μηνιαίου Patch Tuesday — μία εβδομάδα μετά τη δημοσιοποίηση του exploit. Σύμφωνα με δεδομένα από την Huntress Labs, το BlueHammer άρχισε να χρησιμοποιείται ενεργά σε επιθέσεις ήδη από τις 10 Απριλίου 2026, δηλαδή πριν καν κυκλοφορήσει το patch.

Η κίνηση της CISA και τι σημαίνει για οργανισμούς

Η CISA πρόσθεσε το CVE-2026-33825 στον επίσημο κατάλογο Known Exploited Vulnerabilities (KEV), επικαλούμενη ότι «αυτού του είδους οι ευπάθειες αποτελούν συχνά χρησιμοποιούμενα vectors επίθεσης και ενέχουν σημαντικούς κινδύνους για την ομοσπονδιακή υποδομή». Παράλληλα, μία εβδομάδα νωρίτερα, η CISA είχε επίσης προειδοποιήσει για την ευπάθεια CVE-2025-60710 στο Windows Task Host, η οποία εκμεταλλεύεται ενεργά σε συστήματα Windows 11 και Windows Server 2025.

Παρόλο που η εντολή αφορά επίσημα τις ομοσπονδιακές υπηρεσίες, η CISA συστήνει ανεπιφύλακτα σε όλους τους οργανισμούς και ιδιώτες να εφαρμόσουν άμεσα τις ενημερώσεις ασφαλείας του Απριλίου 2026. Εάν δεν είναι δυνατή η εφαρμογή patch, η οδηγία ζητά εφαρμογή των οδηγιών μετριασμού του κατασκευαστή ή διακοπή χρήσης του επηρεαζόμενου προϊόντος.

Τι πρέπει να κάνετε τώρα

Αν χρησιμοποιείτε Windows 10 ή Windows 11, βεβαιωθείτε ότι έχετε εγκαταστήσει τις ενημερώσεις ασφαλείας του Απριλίου 2026 (Patch Tuesday, 14 Απριλίου) οι οποίες περιλαμβάνουν το fix για το CVE-2026-33825. Έως ότου εφαρμοστεί το patch, οι ειδικοί συστήνουν εστίαση σε behavioral detection αντί για στατικό scanning, καθώς το BlueHammer λειτουργεί μέσω της αλληλεπίδρασης νόμιμων Windows components — κάτι που το καθιστά εξαιρετικά δύσκολο να ανιχνευτεί με παραδοσιακά εργαλεία.

Πηγές

• BleepingComputer — CISA orders feds to patch BlueHammer flaw exploited as zero-day
• Picus Security — BlueHammer & RedSun: CVE-2026-33825 Zero-day Explained
• Cyderes Howler Cell — BlueHammer: Inside the Windows Zero-Day
• Security Affairs — Experts published unpatched Windows zero-day BlueHammer

Η Microsoft κυκλοφόρησε ένα έκτακτο security update στις 21 Απριλίου 2026, αντιδρώντας σε μια σοβαρή ευπάθεια που εντοπίστηκε στο ASP.NET Core και αφορά συστήματα που τρέχουν Linux, macOS ή οποιοδήποτε μη-Windows λειτουργικό σύστημα. Η ευπάθεια, γνωστή ως CVE-2026-40372, έχει βαθμολογία CVSS 9.1 στα 10 και χαρακτηρίζεται ως «Important» από την ίδια την εταιρεία.

Τι ακριβώς συμβαίνει;

Το πρόβλημα εντοπίστηκε αρχικά όταν χρήστες ανέφεραν αποτυχίες αποκρυπτογράφησης στις εφαρμογές τους μετά την εγκατάσταση του .NET 10.0.6 που κυκλοφόρησε στο Patch Tuesday. Κατά τη διερεύνηση αυτών των αναφορών, η Microsoft διαπίστωσε ότι η οπισθοδρόμηση (regression) εξέθετε και μια κρίσιμη ευπάθεια ασφαλείας.

Συγκεκριμένα, στις εκδόσεις 10.0.0 έως 10.0.6 του NuGet package Microsoft.AspNetCore.DataProtection, ο managed authenticated encryptor υπολόγιζε το HMAC validation tag πάνω στα λάθος bytes του payload και στη συνέχεια απέρριπτε το υπολογισμένο hash. Αποτέλεσμα: ένας επιτιθέμενος μπορούσε να πλαστογραφήσει payloads που περνούσαν τους ελέγχους αυθεντικότητας, αλλά και να αποκρυπτογραφήσει προστατευμένα δεδομένα όπως authentication cookies και antiforgery tokens.

Ποιοι κινδυνεύουν;

Για να είναι επιρρεπής μια εφαρμογή στην ευπάθεια, πρέπει να πληρούνται τρεις προϋποθέσεις: να χρησιμοποιεί το Microsoft.AspNetCore.DataProtection 10.0.6 από το NuGet (άμεσα ή έμμεσα μέσω εξαρτήσεων), το NuGet αντίγραφο της βιβλιοθήκης να φορτώνεται κατά το runtime, και η εφαρμογή να τρέχει σε Linux, macOS ή άλλο μη-Windows λειτουργικό σύστημα.

Όπως τονίζει η Microsoft στο advisory της: «Improper verification of cryptographic signature in ASP.NET Core allows an unauthorized attacker to elevate privileges over a network», με δυνατότητα απόκτησης SYSTEM privileges.

Ένα σενάριο που θυμίζει το παρελθόν

Η ευπάθεια συγκρίνεται από την ίδια τη Microsoft με το διαβόητο MS10-070 του 2010, ένα έκτακτο patch για το CVE-2010-3332, μια zero-day ευπάθεια στον τρόπο που το ASP.NET χειριζόταν κρυπτογραφικά σφάλματα. Επιπλέον, η ευπάθεια αυτή έρχεται μόλις έξι μήνες μετά από το CVE-2025-55315, μια άλλη κρίσιμη ευπάθεια CVSS 9.9 στον Kestrel web server.

Πώς να προστατευτείτε;

Η διόρθωση περιλαμβάνεται στην έκδοση ASP.NET Core 10.0.7. Για τα περισσότερα server builds, η ενημέρωση θα πρέπει να έχει ήδη γίνει αυτόματα. Ωστόσο, για developers που χρησιμοποιούν Docker containers, τα πράγματα είναι πιο σύνθετα, καθώς η DataProtection βιβλιοθήκη είναι ενσωματωμένη στις built εφαρμογές – απαιτείται rebuild.

Επιπλέον, η Microsoft προειδοποιεί ότι εάν ένας επιτιθέμενος χρησιμοποίησε πλαστά payloads κατά τη διάρκεια του ευάλωτου παραθύρου, τα tokens που εκδόθηκαν νόμιμα (π.χ. session refresh, API keys, password reset links) παραμένουν έγκυρα ακόμα και μετά την ενημέρωση στο 10.0.7, εκτός και αν γίνει rotation του DataProtection key ring.

Αν η εφαρμογή σας χρησιμοποιεί ASP.NET Core Data Protection, η σύσταση είναι σαφής: ενημερώστε στο Microsoft.AspNetCore.DataProtection 10.0.7 το συντομότερο δυνατό.

Πηγές

• Ars Technica – Microsoft issues emergency update for macOS and Linux ASP.NET threat
• Microsoft .NET Blog – .NET 10.0.7 Out-of-Band Security Update
• GitHub – Microsoft Security Advisory CVE-2026-40372
• The Hacker News – Microsoft Patches Critical ASP.NET Core CVE-2026-40372
• BleepingComputer – Microsoft releases emergency patches for critical ASP.NET flaw

Η Vercel, μία από τις πιο δημοφιλείς πλατφόρμες cloud ανάπτυξης και deployment για developers παγκοσμίως, επιβεβαίωσε στις 19 Απριλίου 2026 ότι έγινε θύμα κυβερνοεπίθεσης. Η εταιρεία δημοσίευσε επίσημο security bulletin, ανακοινώνοντας μη εξουσιοδοτημένη πρόσβαση σε ορισμένα εσωτερικά της συστήματα.

Πώς έγινε η παραβίαση

Σύμφωνα με την επίσημη ανακοίνωση της Vercel, το σημείο εισόδου ήταν ένα τρίτο AI εργαλείο που χρησιμοποιούσε υπάλληλος της εταιρείας. Συγκεκριμένα, η παραβίαση ξεκίνησε από το Context.ai, ένα εξωτερικό AI service, του οποίου το Google Workspace OAuth app αποτέλεσε στόχο ευρύτερης επίθεσης που ενδέχεται να έχει επηρεάσει εκατοντάδες χρήστες σε πολλούς οργανισμούς. Ο επιτιθέμενος χρησιμοποίησε αυτήν την πρόσβαση για να αναλάβει τον έλεγχο του Google Workspace account ενός υπαλλήλου της Vercel, αποκτώντας στη συνέχεια πρόσβαση σε ορισμένα environments και environment variables που δεν ήταν επισημασμένα ως «sensitive».

Ο CEO της Vercel, Guillermo Rauch, μοιράστηκε πρόσθετες λεπτομέρειες στο X, επισημαίνοντας ότι ο επιτιθέμενος κατάφερε να κλιμακώσει την πρόσβασή του ερευνώντας αυτά τα μη κρυπτογραφημένα environment variables. Τα variables που είναι επισημασμένα ως «sensitive» αποθηκεύονται με τρόπο που αποτρέπει την ανάγνωσή τους, και δεν υπάρχουν αποδείξεις ότι αυτά αποκτήθηκαν.

Οι απαιτήσεις των hackers

Η αποκάλυψη της παραβίασης ήρθε αφού ένας απειλητής παράγοντας, που ισχυριζόταν ότι ανήκει στην ομάδα ShinyHunters, ανάρτησε σε hacking forum ότι παραβίασε τη Vercel και πωλεί πρόσβαση στα δεδομένα της εταιρείας. Η λίστα διαφημίζει «access keys, source code και database» δεδομένα, καθώς και API keys και tokens που φέρονται να συνδέονται με εσωτερικά deployments. Η τιμή πώλησης ορίστηκε στα $2 εκατομμύρια. Αξίζει να σημειωθεί ότι η ίδια η ομάδα ShinyHunters αρνήθηκε οποιαδήποτε ανάμειξη στο συγκεκριμένο περιστατικό, αφήνοντας ανοιχτό το ενδεχόμενο ενός copycat απειλητικού παράγοντα.

Ένα δείγμα αρχείο δεδομένων που φέρεται να διαμοιράστηκε από τους hackers περιείχε περίπου 580 εγγραφές με πληροφορίες υπαλλήλων της Vercel, συμπεριλαμβανομένων ονομάτων, διευθύνσεων email, καταστάσεων λογαριασμών και χρονικών σημάτων δραστηριότητας.

Αντίκτυπος και αντίδραση της Vercel

Η Vercel δήλωσε ότι ο αριθμός των επηρεαζόμενων πελατών είναι «αρκετά περιορισμένος» και έχει ήδη ειδοποιήσει άμεσα το σχετικό υποσύνολο για να προχωρήσει σε άμεση αλλαγή credentials. Η εταιρεία συνεργάζεται με την Mandiant, άλλες εταιρείες κυβερνοασφάλειας και τις αρχές επιβολής νόμου. Παράλληλα, έχει αναβαθμίσει το dashboard της με νέα επισκόπηση environment variables και βελτιωμένη διεπαφή διαχείρισής τους.

Το περιστατικό αυτό έρχεται σε εξαιρετικά κρίσιμη στιγμή για τη Vercel, καθώς η εταιρεία βρισκόταν σε τροχιά προετοιμασίας για IPO έπειτα από αναφορές για αύξηση εσόδων 240%. Ο CEO διαβεβαίωσε επίσης ότι η supply chain της εταιρείας εξετάστηκε διεξοδικά και ότι το Next.js, το Turbopack και τα open source projects της παραμένουν ασφαλή.

Τι πρέπει να κάνουν οι χρήστες

Αν χρησιμοποιείς Vercel, οι ειδικοί συστήνουν άμεσα:

• Έλεγχο των environment variables για ευαίσθητες πληροφορίες και ενεργοποίηση της λειτουργίας «sensitive variable» ώστε να κρυπτογραφούνται.
• Άμεση αλλαγή (rotation) API keys, database credentials και authentication tokens.
• Έλεγχο του activity log του λογαριασμού σου για ύποπτη δραστηριότητα.
• Επανέκδοση των GitHub tokens που συνδέονται με integrations της Vercel και έλεγχο πρόσφατων build logs για cached credentials.

Πηγές

• The Verge — Cloud development platform Vercel was hacked
• BleepingComputer — Vercel confirms breach as hackers claim to be selling stolen data
• Vercel — Official April 2026 Security Incident Bulletin

Η Vercel, η δημοφιλής πλατφόρμα cloud ανάπτυξης και deployment εφαρμογών, επιβεβαίωσε σήμερα, 19 Απριλίου 2026, ότι δέχθηκε παραβίαση στα εσωτερικά της συστήματα. Η ανακοίνωση έγινε μέσω επίσημου security bulletin, ενώ παράλληλα ένας απειλητικός παράγοντας διατείνεται ότι πωλεί κλεμμένα δεδομένα της εταιρείας σε hacking forum.

Τι συνέβη – Η πηγή της παραβίασης

Σύμφωνα με το επίσημο bulletin της Vercel, η παραβίαση δεν προήλθε από άμεση επίθεση στις υποδομές της εταιρείας. Όπως αποκάλυψε η έρευνα, η είσοδος των επιτιθέμενων έγινε μέσω ενός μικρού third-party AI εργαλείου, το οποίο χρησιμοποιούσε Google Workspace OAuth app. Το συγκεκριμένο app παραβιάστηκε στο πλαίσιο μιας ευρύτερης επίθεσης που ενδέχεται να έχει επηρεάσει εκατοντάδες οργανισμούς που χρησιμοποιούσαν το ίδιο εργαλείο. Η Vercel δεν αποκάλυψε το όνομα του εν λόγω εργαλείου.

Η εταιρεία ενεργοποίησε εξωτερικούς εμπειρογνώμονες incident response και ενημέρωσε τις αρχές επιβολής του νόμου, ενώ οι υπηρεσίες της παραμένουν σε πλήρη λειτουργία.

Τι ισχυρίζονται οι hackers

Παράλληλα με την επίσημη ανακοίνωση, ένας threat actor που χρησιμοποιεί το μονίκερ «ShinyHunters» ανάρτησε σε γνωστό hacking forum ότι κατέχει κλεμμένα δεδομένα της Vercel και τα προσφέρει προς πώληση. Το listing διαφημίζει access keys, source code, database records, internal deployment credentials, καθώς και NPM και GitHub tokens. Ο ίδιος ισχυρίζεται ότι βρίσκεται σε επικοινωνία με την Vercel και έχει θέσει λύτρα ύψους $2 εκατομμυρίων, με αρχική πληρωμή $500.000 σε Bitcoin.

Επίσης, σύμφωνα με πληροφορίες, ο απειλητικός παράγοντας κατέχει αρχείο με 580 εγγραφές εργαζομένων, που περιλαμβάνουν ονόματα, email διευθύνσεις και timestamps δραστηριότητας λογαριασμών. Αξίζει να σημειωθεί ότι η αυθεντική ομάδα ShinyHunters αρνήθηκε κάθε εμπλοκή στο συγκεκριμένο περιστατικό, σύμφωνα με πηγές που επικοινώνησαν μαζί τους.

Κίνδυνος Supply Chain – Εκατομμύρια developers σε επιφυλακή

Ο κίνδυνος αυτής της παραβίασης δεν περιορίζεται μόνο στην ίδια την Vercel. Η εταιρεία είναι γνωστή για την ανάπτυξη του Next.js, του δημοφιλέστατου React framework με περίπου 6 εκατομμύρια εβδομαδιαίες λήψεις. Ο απειλητικός παράγοντας υπαινίχθηκε ότι η πρόσβαση στα εσωτερικά της Vercel θα μπορούσε να επιτρέψει μια μαζική supply-chain επίθεση, επηρεάζοντας εφαρμογές που έχουν κατασκευαστεί στην πλατφόρμα. Ανησυχία έχουν εκφράσει ιδιαίτερα οι crypto και Web3 projects που φιλοξενούνται στη Vercel, καθώς αποθηκεύουν στις environment variables τους ευαίσθητα credentials.

Τι πρέπει να κάνουν οι χρήστες ΤΩΡΑ

Η Vercel έχει εκδώσει συγκεκριμένες οδηγίες για όλους τους χρήστες της πλατφόρμας:

• Έλεγχος και rotation environment variables: Οποιοδήποτε environment variable περιέχει secrets (API keys, tokens, database credentials, signing keys) και δεν ήταν σημειωμένο ως «sensitive», πρέπει να θεωρείται δυνητικά εκτεθειμένο και να αλλαχθεί άμεσα.
• Ενεργοποίηση του Sensitive Environment Variables feature: Οι τιμές που είναι σημειωμένες ως «sensitive» αποθηκεύονται με τρόπο που δεν επιτρέπει την ανάγνωσή τους, και προς το παρόν δεν υπάρχουν ενδείξεις ότι αυτές αποκτήθηκαν.
• Ανανέωση GitHub tokens που συνδέονται με Vercel integrations και έλεγχος recent build logs για cached credentials.
• Audit λογαριασμού για ύποπτη δραστηριότητα στα logs deployments και project configurations.

Κακή στιγμή για την Vercel

Η παραβίαση έρχεται σε εξαιρετικά κρίσιμη στιγμή για την εταιρεία. Σύμφωνα με αναφορές, η Vercel σχεδίαζε IPO μετά από ραγδαία ανάπτυξη εσόδων, ενώ ανταγωνιστές όπως η Netlify και η Render ήδη επικοινωνούν με πελάτες της Vercel προβάλλοντας τα δικά τους security profiles. Η έρευνα συνεχίζεται και η εταιρεία έχει υποσχεθεί περαιτέρω ενημερώσεις.

Πηγές

• BleepingComputer – Vercel confirms breach as hackers claim to be selling stolen data
• Vercel – Official Security Bulletin (April 2026)
• CyberInsider – Vercel confirms security incident as hackers claim to sell internal access
• TechWeez – Vercel Confirms Internal System Breach Linked to Third-Party AI Tool